Заблокирован Опасный Веб адрес atotum/f.exe

[Камиль Мусаев]

Скрин прикрепил

CollectionLog-2018.02.18-12.12.zip

Addition.txt

FRST.txt

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Musaev\AppData\Local\D547B3~1\{C2413~1.','');
 QuarantineFile('C:\Users\Musaev\AppData\Roaming\curl\curl.exe','');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\Musaev\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\D947C368-CCF1-D41A-B878-C4172CC9EE32','64');
 DeleteFile('C:\Users\Musaev\AppData\Local\D547B3~1\{C2413~1.','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Камиль Мусаев]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Musaev\AppData\Local\D547B3~1\{C2413~1.','');
 QuarantineFile('C:\Users\Musaev\AppData\Roaming\curl\curl.exe','');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\Musaev\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\D947C368-CCF1-D41A-B878-C4172CC9EE32','64');
 DeleteFile('C:\Users\Musaev\AppData\Local\D547B3~1\{C2413~1.','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

 

CollectionLog-2018.02.18-15.00.zip

[Камиль Мусаев]

[KLAN-7657382718]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Musaev\AppData\Local\D547B3~1\{C2413~1.','');
 QuarantineFile('C:\Users\Musaev\AppData\Roaming\curl\curl.exe','');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\Musaev\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\D947C368-CCF1-D41A-B878-C4172CC9EE32','64');
 DeleteFile('C:\Users\Musaev\AppData\Local\D547B3~1\{C2413~1.','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

 

ТОже самое вылазиет

[thyrex]

Я не вижу, что Вы сделали новые логи Autologger.

[Камиль Мусаев]

@thyrex,

 

ещё один лог в 15:00 двумя сообщениями выше , как раз после выполнения скрипта

CollectionLog-2018.02.19-00.46.zip

Изменено 18 февраля, 2018 пользователем Камиль Мусаев

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Камиль Мусаев]

@thyrex, 

FRST.txt

Addition.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Task: {059E3A8A-5E38-439E-8DFF-BD35D99D9AE9} - \Checker64 -> No File <==== ATTENTION
Task: {6F7CBA7B-74A9-4C15-84B5-3F6AB67E4CFD} - \curl -> No File <==== ATTENTION
Task: {993A0238-0055-471E-9D46-66F62316EE0C} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {D6BB461B-0F2B-40AD-83E1-3933728EA793} - \D947C368-CCF1-D41A-B878-C4172CC9EE32 -> No File <==== ATTENTION
Task: {F1598104-E6C5-4020-9798-29C8E9012E47} - \curls -> No File <==== ATTENTION
Task: {F2CB619A-DB96-45BD-94BF-CCDC9C2A6A83} - \{ABAAA6AF-4551-6C5E-67A6-A1841497B125} -> No File <==== ATTENTION
HKU\S-1-5-21-3758539009-2049045882-629772920-1001\...\RunOnce: [ClearTemp] => del C:\Users\Musaev\AppData\Local\Temp\yupdate.exe-{8ECE5F4E-020C-40C4-8A69-4271959180B2} <==== ATTENTION
Tcpip\Parameters: [NameServer] 8.8.8.8,208.67.222.222
Tcpip\..\Interfaces\{6042488d-21f0-499f-a050-23181b6e6d3c}: [NameServer] 8.8.8.8,208.67.222.222
Tcpip\..\Interfaces\{6042488d-21f0-499f-a050-23181b6e6d3c}: [DhcpNameServer] 82.163.143.176
Tcpip\..\Interfaces\{e75bc43f-d429-471a-b103-939756a01833}: [NameServer] 8.8.8.8,208.67.222.222
Tcpip\..\Interfaces\{e75bc43f-d429-471a-b103-939756a01833}: [DhcpNameServer] 82.163.143.176
Tcpip\..\Interfaces\{fec1a127-af5a-4605-86c9-959a08103c9d}: [NameServer] 8.8.8.8,208.67.222.222
Tcpip\..\Interfaces\{fec1a127-af5a-4605-86c9-959a08103c9d}: [DhcpNameServer] 82.163.143.176
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [ngdlmklkpclkhjopnhihdedhjgjmhlaa] - hxxps://clients2.google.com/service/update2/crx
2018-02-08 20:42 - 2018-02-11 11:34 - 000000000 ____D C:\Users\Все пользователи\b999f9b5
2018-02-08 20:42 - 2018-02-11 11:34 - 000000000 ____D C:\ProgramData\b999f9b5
2018-02-08 20:42 - 2018-02-08 22:52 - 000000000 ____D C:\Users\Все пользователи\84a1a666-6275-0
2018-02-08 20:42 - 2018-02-08 22:52 - 000000000 ____D C:\Users\Все пользователи\84a1a666-0f47-1
2018-02-08 20:42 - 2018-02-08 22:52 - 000000000 ____D C:\ProgramData\84a1a666-6275-0
2018-02-08 20:42 - 2018-02-08 22:52 - 000000000 ____D C:\ProgramData\84a1a666-0f47-1
2018-02-08 20:40 - 2018-02-08 22:52 - 000000000 ____D C:\Users\Все пользователи\{569e5768-212c-1}
2018-02-08 20:40 - 2018-02-08 22:52 - 000000000 ____D C:\Users\Все пользователи\{3e2166a9-012c-0}
2018-02-08 20:40 - 2018-02-08 22:52 - 000000000 ____D C:\ProgramData\{569e5768-212c-1}
2018-02-08 20:40 - 2018-02-08 22:52 - 000000000 ____D C:\ProgramData\{3e2166a9-012c-0}
2018-01-27 11:12 - 2018-01-27 11:12 - 000000000 ____D C:\Users\Musaev\AppData\Local\Вoйти в Интeрнет
2018-01-27 11:11 - 2018-01-27 11:11 - 000000000 ____D C:\Users\Musaev\AppData\Roaming\curl
2018-01-27 11:10 - 2018-01-27 11:54 - 000000000 ____D C:\Users\Musaev\AppData\Local\yc
2018-01-27 11:06 - 2018-01-27 11:06 - 000000000 ____D C:\Users\Musaev\AppData\Local\Поиcк в Интeрнете
2018-01-27 11:05 - 2018-02-08 20:43 - 000000000 ____D C:\Users\Все пользователи\bdf063d6-2175-0
2018-01-27 11:05 - 2018-02-08 20:43 - 000000000 ____D C:\ProgramData\bdf063d6-2175-0
2018-01-27 11:05 - 2018-02-08 20:42 - 000000000 ____D C:\Users\Все пользователи\bdf063d6-26f3-1
2018-01-27 11:05 - 2018-02-08 20:42 - 000000000 ____D C:\ProgramData\bdf063d6-26f3-1
2018-01-27 11:04 - 2018-01-27 11:04 - 000000000 ____D C:\Users\Musaev\AppData\Local\ZaxarGameBrowser
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Камиль Мусаев]

@thyrex, 

Fixlog.txt

[thyrex]

Проблема решена?

[Камиль Мусаев]

@thyrex, 

 

пока не всплывает, денёк по наблюдаю и отпишусь